moCA WG による CA 実験のページ
moCA (Members Oriented Certification Authority) ワーキンググループでは以下のことを目指して実験を行ってきました。
証明書発行方法を変えて比較実験し、最適な手続きを模索すること
証明書の期限切れに対して更新実験を行ない、CAの運用サイクルに関してノウハウを得ること
証明書の廃棄がどの程度の頻度で発生するか調査し、CRL の発行に関するヒントを得ること
WIDE で活動する上で利用する様々なシステム運用との連携を検討し、証明書が使える場面を少しずつ増やしていくこと
実験の履歴
今までに moCA WG で行なってきた実験内容は以下のとおりです。 いずれも、証明書の第一の用途としては、SSLのクライアント認証機能を利用 した、WIDEメンバ限定情報のアクセスコントロールを想定しています。
2000.06 moCA 証明書の有効期限が切れるにあたって、ユーザ証明書を 再発行してもらう実験
CA 証明書の移行については 「
2000年7月までに行われるCA証明書の移行について
」 に書いてあります。
1997.07 WIDEメンバを対象とした証明書発行の手続きに着目した実験
内容については、
SCIS98 での発表
にまとめてあります。
1998.03 証明書発行手続きを改良した実験
この時点から、S/MIME にも利用できるようになりました。
ここまでの2回の実験内容については、1997年度 WIDEプロジェクト研究 会報告書にまとめてあります。
1998.06 個人証明書/CA証明書の更新実験
Netscape ブラウザには、個人の秘密鍵を変えずに証明書の有効期限 のみが変わったときには、証明書が延長されたものとしてローカルの証 明書データベースを更新する機能があります。
これを試すことと、moCA の証明書期限が切れるため、moCA 証明書の 更新作業を合わせて行いました。
1998.09 CA系列移動実験
moCA の上位 CAを IPRA系列(ICAT系列)から WIDE系列に変更しました。 この実験を行うにあたって、あらたに WIDE ROOT CA というルートCAを 立ち上げています。
また、この機会に School of Internet CA が WIDE系列に入りました。
[実験前] [実験後] IPRA WIDE ROOT CA | | \ ICAT PCA moCA SOI CA | moCA
1998.10 WIDE ROOT CA の鍵変更実験第一弾
ルートCAの証明書有効期限まで1ヵ月をきったため、 これを機にルートCA の鍵を変更するという想定のもとで、 鍵を変更しました。
管理者間のやりとりや、ルートCAの鍵変更発生から最終的にユーザにア ナウンスが行われるまでの時間の計測を目的としています。
この実験では下位CA(moCA, SOI CA)の鍵変更は行ないませんでしたので、 各ユーザには、ルートCA および下位CA の証明書を入れ換える作業をし ていただきました。
1998.11 WIDE ROOT CA の鍵変更実験第二弾
ルートCAの証明書有効期限まで1週間をきったため、 これを機にルートCA の鍵を変更するという想定のもとで、 鍵を変更しました。
管理者間のやりとりや、ルートCAの鍵変更発生から最終的にユーザにア ナウンスが行われるまでの時間の計測を目的としています。
この実験では下位CAの証明書の有効期限も同時に迫っており、moCA は これを機に鍵を変更しました。したがって、moCA の発行した証明書は *全て*再発行となり、ユーザには、第一弾の作業に加えて、証明書の再 発行作業が発生しました。
SOI CA は鍵を変更しませんでしたので、ユーザの作業は第一弾のとき と同じでした。
moCA WG, WIDE Project, Jun., 2000